CN115001954B - 一种网络安全态势感知方法、装置及系统 - Google Patents

一种网络安全态势感知方法、装置及系统 Download PDF

Info

Publication number
CN115001954B
CN115001954B CN202210605004.7A CN202210605004A CN115001954B CN 115001954 B CN115001954 B CN 115001954B CN 202210605004 A CN202210605004 A CN 202210605004A CN 115001954 B CN115001954 B CN 115001954B
Authority
CN
China
Prior art keywords
alarm
network security
total number
security situation
matrix
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210605004.7A
Other languages
English (en)
Other versions
CN115001954A (zh
Inventor
杨银国
刘洋
于珍
陆秋瑜
伍双喜
朱誉
林英明
姜宝翔
刘杨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Power Grid Co Ltd
Electric Power Dispatch Control Center of Guangdong Power Grid Co Ltd
Original Assignee
Guangdong Power Grid Co Ltd
Electric Power Dispatch Control Center of Guangdong Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Power Grid Co Ltd, Electric Power Dispatch Control Center of Guangdong Power Grid Co Ltd filed Critical Guangdong Power Grid Co Ltd
Priority to CN202210605004.7A priority Critical patent/CN115001954B/zh
Publication of CN115001954A publication Critical patent/CN115001954A/zh
Application granted granted Critical
Publication of CN115001954B publication Critical patent/CN115001954B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络安全态势感知方法、装置及系统。本发明通过解析网络攻击告警日志,分别从网络攻击告警日志中提取目标告警类型和非目标告警类型的告警事件的特征量,采用指数加权移动平均控制图算法,分别计算所有特征量的一步预测误差和控制边界,基于根据所有特征量的一步预测误差和控制边界所生成的网络安全态势感知矩阵,判断是否存在网络安全态势异常,以在判定存在网络安全态势异常时,将历史数据库中与网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵发送至用户终端,能够排除海量低风险告警和误报的干扰,有效感知网络安全态势并及时发现网络安全态势异常,进一步保证网络安全。

Description

一种网络安全态势感知方法、装置及系统
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络安全态势感知方法、装置及系统。
背景技术
工业互联网将传感量测技术、信息通信技术和自动控制技术与流程工业相结合,使用工业互联网感知流程工业的状态信息和参数数据,以及下发控制指令,实现工业流程的远程实时控制。工业互联网的应用提升了工业生产的能控性、能观性和实时性,并有着资源整合、远程控制、与门户网站和外网互联网互联的趋势。工业互联网的应用虽然提高了流程工业的生产效率,但也使传统互联网中的网络安全问题对工业生产造成威胁,典型的网络攻击类型如拒绝服务攻击、数据窃听、中间人攻击等,在工业互联网中同样有效且危害巨大。
为应对网络安全问题带来的威胁,工业互联网通常会部署入侵检测系统、网络应用防火墙等网络安全系统和设备,并雇佣网络安全分析人员实施监控、分析、处置网络安全系统和设备产生的网络安全事件告警。出于安全性考虑,工业互联网通常应用较为严格的流量检测规则,而网络的构建优先考虑生产效率而非安全需求,因此工业互联网中部署的网络安全系统和设备会产生海量的低风险告警和误报。工业互联网的网络流量中很大部分来自流程工业现场可控器件和分布式量测设备的网络行为,这些可控器件和分布式量测设备的网络行为由其负担的生产业务确定,可能会违反流量检测规则,产生大量持续不断的、随业务流程波动的误报。另外,工业互联网中的网络设备具有分布式的特点,且网络设备通过固件进行更新,更新周期很长,而网络安全系统和设备的更新周期较短,因此工业互联网中的网络设备可能会因为错误过时的网络配置触发网络安全系统和设备告警。
为保证生产流程正常运行,即使工业互联网中部署的网络安全系统和设备持续不断地产生大量误报,也不能封禁触发告警的网络设备。大量的低风险告警和误报与少量具有较大安全风险的告警相互混杂,给网络安全分析人员处理网络异常流量的工作带来巨大挑战,使得网络安全分析人员难以排除海量低风险告警和误报的干扰,无法有效感知网络安全态势并及时发现网络安全态势异常,这在一定程度上制约了网络安全。
发明内容
为了克服现有技术的缺陷,本发明提供一种网络安全态势感知方法、装置及系统,能够排除海量低风险告警和误报的干扰,有效感知网络安全态势并及时发现网络安全态势异常,进一步保证网络安全。
为了解决上述技术问题,第一方面,本发明一实施例提供一种网络安全态势感知方法,包括:
对获取的网络攻击告警日志进行解析,分别从所述网络攻击告警日志中提取目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量,得到所有特征量;
基于指数加权移动平均控制图算法,分别计算所有所述特征量的一步预测误差和控制边界,并根据所有所述特征量的一步预测误差和控制边界,生成网络安全态势感知矩阵;
根据所述网络安全态势感知矩阵,判断是否存在网络安全态势异常,并在判定存在网络安全态势异常时,将历史数据库中与所述网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵发送至用户终端。
进一步地,在所述对获取的网络攻击告警日志进行解析,分别从所述网络攻击告警日志中提取目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量,得到所有特征量之前,还包括:
获取所述用户终端发送的所有所述目标告警类型;或者,
对获取的历史网络攻击告警日志进行解析,分别统计每一告警类型的告警事件的指标值,并在所述告警类型的告警事件的指标值大于预设阈值时,将所述告警类型作为所述目标告警类型,得到所有所述目标告警类型;其中,所述告警类型的告警事件的指标值包括所述告警类型的告警事件的发生总数、发生总数占比、发生频次中的至少一种。
进一步地,所述在判定存在网络安全态势异常时,将历史数据库中与所述网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵发送至用户终端,还包括:
当无法从所述历史数据库中获取到与所述网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵时,将所述网络安全态势感知矩阵发送至所述用户终端,并接收所述用户终端针对所述网络安全态势感知矩阵反馈的研判结果,将所述研判结果存储于所述历史数据库。
进一步地,所述对获取的网络攻击告警日志进行解析,分别从所述网络攻击告警日志中提取目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量,得到所有特征量,具体为:
对所述网络攻击告警日志进行解析,分别统计当前采样周期内每一所述目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数,将每一所述目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数对应作为每一所述目标告警类型的告警事件的特征量,得到所有所述目标告警类型的告警事件的特征量;
统计当前采样周期内所述非目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数,将所述非目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数作为所述非目标告警类型的告警事件的特征量。
进一步地,所述基于指数加权移动平均控制图算法,分别计算所有所述特征量的一步预测误差和控制边界,具体为:
根据当前采样周期内所有所述目标告警类型的告警事件的特征量和所述非目标告警类型的告警事件的特征量,生成当前采样周期内所有所述特征量的特征量矩阵;
根据所述特征量矩阵,生成当前采样周期内所有所述特征量的指数加权移动平均值矩阵;
根据所述特征量矩阵和所述指数加权移动平均值矩阵,生成当前采样周期内所有所述特征量的一步预测误差值矩阵;
根据所述一步预测误差值矩阵,确定当前采样周期内所有所述特征量的一步预测误差;
分别根据每一所述特征量的一步预测误差,对应计算每一所述特征量的控制上界值和控制下界值,得到当前采样周期内所有所述特征量的控制边界。
进一步地,所述特征量矩阵为:
Figure BDA0003669551160000041
其中,X(i)为在第i个采样周期内所有所述特征量的特征量矩阵,numj(i)为在第i个采样周期内第j种目标告警类型的告警事件的发生总数,srcj(i)为在第i个采样周期内第j种目标告警类型的告警事件涉及的源IP地址总数,desj(i)为在第i个采样周期内第j种目标告警类型的告警事件涉及的目的IP地址总数,j=1,2,...,n,n为所有所述目标告警类型的总数,numn+1(i)为在第i个采样周期内所述非目标告警类型的告警事件的发生总数,srcn+1(i)为在第i个采样周期内所述非目标告警类型的告警事件涉及的源IP地址总数,desn+1(i)为在第i个采样周期内所述非目标告警类型的告警事件涉及的目的IP地址总数;
所述指数加权移动平均值矩阵为:
Z(i)=(1-λ1)·Z(i-1)+λ1·X(i);
其中,Z(i)为在第i个采样周期内所有所述特征量的指数加权移动平均值矩阵,Z(i-1)为在第i-1个采样周期内所有所述特征量的指数加权移动平均值矩阵,λ1为预设平滑系数;
所述一步预测误差值矩阵为:
E(i)=X(i)-Z(i-1);
其中,E(i)为在第i个采样周期内所有所述特征量的一步预测误差值矩阵;所述特征量的控制上界值为:
UCLα(i)pq=α·eg(i);
所述特征量的控制下界值为:
LCLα(i)pq=-α·eg(i);
其中,UCLα(i)pq为在第i个采样周期内特征量X(i)pq的控制上界值,LCLα(i)pq为在第i个采样周期内特征量X(i)pq的控制下界值,X(i)pq为所述特征量矩阵中第p行第q列元素,α为预设接受范围系数,
Figure BDA0003669551160000051
λ2为预设边界控制系数,/>
Figure BDA0003669551160000052
为从开始时刻到第i个采样周期内特征量X(i)pq的一步预测误差E(i)pq的方差。
进一步地,所述根据所有所述特征量的一步预测误差和控制边界,生成网络安全态势感知矩阵,具体为:
基于预先定义的网络安全态势感知矩阵元素取值表,分别根据每一所述特征量的一步预测误差和控制边界,确定所述网络安全态势感知矩阵中对应元素的取值,生成所述网络安全态势感知矩阵。
进一步地,所述根据所述网络安全态势感知矩阵,判断是否存在网络安全态势异常,具体为:
遍历所述网络安全态势感知矩阵中的所有元素,若所述网络安全态势感知矩阵中有至少一个元素的取值为异常值,则判定存在网络安全态势异常,否则判定不存在网络安全态势异常。
第二方面,本发明一实施例提供一种网络安全态势感知装置,包括:
告警事件特征量获取模块,用于对获取的网络攻击告警日志进行解析,分别从所述网络攻击告警日志中提取目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量,得到所有特征量;
网络安全态势感知矩阵生成模块,用于基于指数加权移动平均控制图算法,分别计算所有所述特征量的一步预测误差和控制边界,并根据所有所述特征量的一步预测误差和控制边界,生成网络安全态势感知矩阵;
网络安全态势感知模块,用于根据所述网络安全态势感知矩阵,判断是否存在网络安全态势异常,并在判定存在网络安全态势异常时,将历史数据库中与所述网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵发送至用户终端。
第三方面,本发明一实施例提供一种网络安全态势感知系统,包括服务器;
所述服务器,用于执行:
对获取的网络攻击告警日志进行解析,分别从所述网络攻击告警日志中提取目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量,得到所有特征量;
基于指数加权移动平均控制图算法,分别计算所有所述特征量的一步预测误差和控制边界,并根据所有所述特征量的一步预测误差和控制边界,生成网络安全态势感知矩阵;
根据所述网络安全态势感知矩阵,判断是否存在网络安全态势异常,并在判定存在网络安全态势异常时,将历史数据库中与所述网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵发送至用户终端。
相比于现有技术,本发明的实施例,具有如下有益效果:
通过解析网络攻击告警日志,分别从网络攻击告警日志中提取目标告警类型和非目标告警类型的告警事件的特征量,采用指数加权移动平均控制图算法,分别计算所有特征量的一步预测误差和控制边界,基于根据所有特征量的一步预测误差和控制边界所生成的网络安全态势感知矩阵,判断是否存在网络安全态势异常,以在判定存在网络安全态势异常时,将历史数据库中与网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵发送至用户终端,能够排除海量低风险告警和误报的干扰,有效感知网络安全态势并及时发现网络安全态势异常,进一步保证网络安全。
附图说明
图1为本发明第一实施例中的一种网络安全态势感知方法的流程示意图;
图2为本发明第一实施例中的一种网络安全态势感知方法的另一流程示意图;
图3为本发明第二实施例中的一种网络安全态势感知装置的结构示意图;
图4为本发明第三实施例中的一种网络安全态势感知系统的结构示意图。
具体实施方式
下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,文中的步骤编号,仅为了方便具体实施例的解释,不作为限定步骤执行先后顺序的作用。本实施例提供的方法可以由相关的终端设备执行,且下文均以服务器作为执行主体为例进行说明。
如图1所示,第一实施例提供一种网络安全态势感知方法,包括步骤S1~S3:
S1、对获取的网络攻击告警日志进行解析,分别从网络攻击告警日志中提取目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量,得到所有特征量;
S2、基于指数加权移动平均控制图算法,分别计算所有特征量的一步预测误差和控制边界,并根据所有特征量的一步预测误差和控制边界,生成网络安全态势感知矩阵;
S3、根据网络安全态势感知矩阵,判断是否存在网络安全态势异常,并在判定存在网络安全态势异常时,将历史数据库中与网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵发送至用户终端。
需要说明的是,用户终端包括网络安全分析人员持有的手机、电脑、平板等可与服务器连接的通信设备。
作为示例性地,在步骤S1中,获取若干个网络安全系统和设备产生的网络攻击告警日志,对所有网络攻击告警日志进行解析,从所有网络攻击告警日志中提取目标告警类型的告警事件的特征量,以及从所有网络攻击告警日志中提取除了目标告警类型之外的其余告警类型,即非目标告警类型的告警事件的特征量,得到所有特征量,其中,告警事件的特征量包括告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数。
在步骤S2中,采用具有下限的指数加权移动平均控制图算法,计算各个特征量的一步预测误差和控制边界,并根据所有特征量的一步预测误差和控制边界,生成网络安全态势感知矩阵。
在步骤S3中,根据网络安全态势感知矩阵,判断是否存在网络安全态势异常,若存在网络安全态势异常,则分别将网络安全态势感知矩阵与历史数据库中的每一异常网络安全态势感知矩阵进行匹配,以当匹配成功时将与网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵发送至用户终端,使网络安全分析人员可直接根据异常网络安全态势感知矩阵及时发现网络安全态势异常。
本实施例通过解析网络攻击告警日志,分别从网络攻击告警日志中提取目标告警类型和非目标告警类型的告警事件的特征量,采用指数加权移动平均控制图算法,分别计算所有特征量的一步预测误差和控制边界,基于根据所有特征量的一步预测误差和控制边界所生成的网络安全态势感知矩阵,判断是否存在网络安全态势异常,以在判定存在网络安全态势异常时,将历史数据库中与网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵发送至用户终端,能够排除海量低风险告警和误报的干扰,有效感知网络安全态势并及时发现网络安全态势异常,进一步保证网络安全。
在优选的实施例当中,在所述对获取的网络攻击告警日志进行解析,分别从网络攻击告警日志中提取目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量,得到所有特征量之前,还包括:获取用户终端发送的所有目标告警类型;或者,对获取的历史网络攻击告警日志进行解析,分别统计每一告警类型的告警事件的指标值,并在告警类型的告警事件的指标值大于预设阈值时,将告警类型作为目标告警类型,得到所有目标告警类型;其中,告警类型的告警事件的指标值包括告警类型的告警事件的发生总数、发生总数占比、发生频次中的至少一种。
作为示例性地,为更准确地排除海量低风险告警和误报的干扰,需要预先确定高风险告警对应的目标告警类型,可直接由网络安全分析人员根据自身专业知识定义目标告警类型,获取网络安全分析人员通过用户终端发送的所有目标告警类型,也可由服务器解析历史网络攻击告警日志,统计历史网络攻击告警日志中记录的各种告警类型的告警事件的指标值,以将指标值大于预设阈值的告警事件对应的告警类型作为目标告警类型,得到所有目标告警类型,比如统计历史网络攻击告警日志中记录的各种告警类型的告警事件的发生总数、发生频次,当任一告警类型的告警事件的发生总数大于预设发生总数阈值且其发生频次大于预设发生频次阈值时,将该告警类型作为目标告警类型,得到所有目标告警类型。
本实施例通过根据人工经验或历史数据确定目标告警类型,能够更准确地排除海量低风险和误报的干扰,有效感知网络安全态势并及时发现网络安全态势异常,进一步保证网络安全。
在优选的实施例当中,所述在判定存在网络安全态势异常时,将历史数据库中与网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵发送至用户终端,还包括:当无法从历史数据库中获取到与网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵时,将网络安全态势感知矩阵发送至用户终端,并接收用户终端针对网络安全态势感知矩阵反馈的研判结果,将研判结果存储于历史数据库。
作为示例性地,当网络安全态势感知矩阵与历史数据库中的每一异常网络安全态势感知矩阵均匹配不成功,无法从历史数据库中获取到与网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵时,直接将网络安全态势感知矩阵发送至用户终端,使网络安全分析人员根据自身专业知识对网络安全态势感知矩阵进行人工研判,获取网络安全分析人员通过用户终端发送的研判结果,将研判结果存储于历史数据库。
本实施例通过在无法从历史数据库中获取到与网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵时,直接将网络安全态势感知矩阵发送至用户终端,使网络安全分析人员可直接根据网络安全态势感知矩阵进行研判,及时发现网络安全态势异常,进一步保证网络安全。
在优选的实施例当中,所述对获取的网络攻击告警日志进行解析,分别从网络攻击告警日志中提取目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量,得到所有特征量,具体为:对网络攻击告警日志进行解析,分别统计当前采样周期内每一目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数,将每一目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数对应作为每一目标告警类型的告警事件的特征量,得到所有目标告警类型的告警事件的特征量;统计当前采样周期内非目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数,将非目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数作为非目标告警类型的告警事件的特征量。
作为示例性地,假设预先确定的所有目标告警类型有n种,第j种目标告警类型记为reg_typej,j=1,2,...,n;获取的所有网络攻击告警日志均记录有所有目标告警类型的告警事件。
对所有网络攻击告警日志进行解析,统计所有网络攻击告警日志记录的当前采样周期内各个目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数,记在第i个采样周期内第j种目标告警类型的告警事件的发生总数为numj(i),在第i个采样周期内第j种目标告警类型的告警事件涉及的源IP地址总数为srcj(i),在第i个采样周期内第j种目标告警类型的告警事件涉及的目的IP地址总数为desj(i),得到当前采样周期内所有目标告警类型的告警事件的特征量。
对所有网络攻击告警日志进行解析,统计所有网络攻击告警日志记录的当前采样周期内除了所有目标告警类型之外的其余告警类型,即非目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数,记在第i个采样周期内非目标告警类型的告警事件的发生总数为numn+1(i),在第i个采样周期内非目标告警类型的告警事件涉及的源IP地址总数为srcn+1(i),在第i个采样周期内非目标告警类型的告警事件涉及的目的IP地址总数为desn+1(i),得到当前采样周期内所有非目标告警类型的告警事件的特征量。
在优选的实施例当中,所述基于指数加权移动平均控制图算法,分别计算所有特征量的一步预测误差和控制边界,具体为:根据当前采样周期内所有目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量,生成当前采样周期内所有特征量的特征量矩阵;根据特征量矩阵,生成当前采样周期内所有特征量的指数加权移动平均值矩阵;根据特征量矩阵和指数加权移动平均值矩阵,生成当前采样周期内所有特征量的一步预测误差值矩阵;根据一步预测误差值矩阵,确定当前采样周期内所有特征量的一步预测误差;分别根据每一特征量的一步预测误差,对应计算每一特征量的控制上界值和控制下界值,得到当前采样周期内所有特征量的控制边界。
在优选的实施例当中,特征量矩阵为:
Figure BDA0003669551160000111
其中,X(i)为在第i个采样周期内所有特征量的特征量矩阵,numj(i)为在第i个采样周期内第j种目标告警类型的告警事件的发生总数,srcj(i)为在第i个采样周期内第j种目标告警类型的告警事件涉及的源IP地址总数,desj(i)为在第i个采样周期内第j种目标告警类型的告警事件涉及的目的IP地址总数,j=1,2,...,n,n为所有目标告警类型的总数,numn+1(i)为在第i个采样周期内非目标告警类型的告警事件的发生总数,srcn+1(i)为在第i个采样周期内非目标告警类型的告警事件涉及的源IP地址总数,desn+1(i)为在第i个采样周期内非目标告警类型的告警事件涉及的目的IP地址总数;
指数加权移动平均值矩阵为:
Z(i)=(1-λ1)·Z(i-1)+λ1·X(i) (2);
其中,Z(i)为在第i个采样周期内所有特征量的指数加权移动平均值矩阵,Z(i-1)为在第i-1个采样周期内所有特征量的指数加权移动平均值矩阵,λ1为预设平滑系数;
一步预测误差值矩阵为:
E(i)=X(i)-Z(i-1) (3);
其中,E(i)为在第i个采样周期内所有特征量的一步预测误差值矩阵;
特征量的控制上界值为:
UCLα(i)pq=α·eg(i) (4);
特征量的控制下界值为:
LCLα(i)pq=-α·eg(i) (5);
其中,UCLα(i)pq为在第i个采样周期内特征量X(i)pq的控制上界值,LCLα(i)pq为在第i个采样周期内特征量X(i)pq的控制下界值,X(i)pq为特征量矩阵中第p行第q列元素,α为预设接受范围系数,
Figure BDA0003669551160000121
λ2为预设边界控制系数,/>
Figure BDA0003669551160000122
为从开始时刻到第i个采样周期内特征量X(i)pq的一步预测误差E(i)pq的方差。
可以理解的是,特征量矩阵中第p行第q列元素为X(i)pq,则特征量X(i)pq的一步预测误差即为一步预测误差值矩阵中第p行第q列元素E(i)pq
在优选的实施例当中,所述根据所有特征量的一步预测误差和控制边界,生成网络安全态势感知矩阵,具体为:基于预先定义的网络安全态势感知矩阵元素取值表,分别根据每一特征量的一步预测误差和控制边界,确定网络安全态势感知矩阵中对应元素的取值,生成网络安全态势感知矩阵。
作为示例性地,对于特征量矩阵中的每一特征量,分别计算预设接受范围系数α取1、2、3时该特征量的控制边界,得到UCL1(i)、UCL2(i)、UCL3(i)、LCL1(i)、LCL2(i)、LCL3(i)。
记网络安全态势感知矩阵为S(i),根据如表1所示的网络安全态势感知矩阵元素取值表,分别根据每一特征量的一步预测误差和控制边界,确定网络安全态势感知矩阵S(i)中对应元素的取值。
表1网络安全态势感知矩阵元素取值表
Figure BDA0003669551160000131
/>
在优选的实施例当中,所述根据网络安全态势感知矩阵,判断是否存在网络安全态势异常,具体为:遍历网络安全态势感知矩阵中的所有元素,若网络安全态势感知矩阵中有至少一个元素的取值为异常值,则判定存在网络安全态势异常,否则判定不存在网络安全态势异常。
作为示例性地,若网络安全态势感知矩阵S(i)中有至少一个元素的取值为3或-3,则判定第i个采样周期内存在网络安全态势异常,否则判定第i个采样周期内不存在网络安全态势异常,等待获取下一采样周期的网络安全态势感知矩阵S(i+1)进行判断。
如图2所示,为了更清楚地说明第一实施例,应用网络安全态势感知方法的具体流程如下:
1、根据历史数据和专家知识确定目标告警类型;
具体而言,根据对历史数据的分析发现,告警类型为“123Port Access”的告警事件发生总数占比为55.5%,告警类型为“1521Port Access”的告警事件发生总数占比为26.2%,且这两种告警类型在超过90%的采样周期中都存在,因此,选取第一种目标告警类型reg_type1=“123Port Access”、reg_type2=“1521Port Access”。
2、获取由网络安全系统和设备产生的网络攻击告警日志,对来自不同网络安全系统和设备的网络攻击告警日志进行解析,并分别提取目标告警类型和非目标告警类型的告警事件的特征量。
具体而言,采集由部署于工业互联网中的不同网络安全系统和设备产生的网络攻击告警日志后,将网络攻击告警日志按照各自数据格式进行解析,先提取告警事件、源IP地址、目的IP地址和告警类型,再按照告警类型统计所需特征量,即对于n种目标报警类型,分别统计其在当前采样周期内的告警事件的发生总数、涉及的源IP地址数量、涉及的目的IP地址数量;记在第i个采样周期内第j种目标告警类型的告警事件的发生总数为numj(i),在第i个采样周期内第j种目标告警类型的告警事件涉及的源IP地址总数为srcj(i),在第i个采样周期内第j种目标告警类型的告警事件涉及的目的IP地址总数为desj(i)。
对于除n种目标告警类型之外的其余告警类型,也就是非目标告警类型,统计其在当前采样周期内的告警事件的发生总数、涉及的源IP地址数量、涉及的目的IP地址数量,记在第i个采样周期内非目标告警类型的告警事件的发生总数为numn+1(i),在第i个采样周期内非目标告警类型的告警事件涉及的源IP地址总数为srcn+1(i),在第i个采样周期内非目标告警类型的告警事件涉及的目的IP地址总数为desn+1(i)。
以测试数据第i个采样周期为例,网络攻击告警日志在该采样周期内的统计数据如表2所示:
表2网络攻击告警日志在第i个采样周期内的统计数据
告警类型 发生总数 源IP地址数量 目的IP地址数量
123Port Access 562 49 16
1521Port Access 244 52 24
Information Leakage 62 19 11
5355Port Access 30 15 3
8080Port Access 17 11 4
统计特征量得,num1(i)=562、src1(i)=49、des1(i)=16、num2(i)=244、src2(i)=52、des2(i)=24、num3(i)=109、src3(i)=38、des3(i)=14。
需要注意的是,除2种目标告警类型外,其他告警类型都归类为非目标告警类型进行统计,因此num3(i)=62+30+17=109,而src3(i)=38<19+15+11、des3(i)=14<11+3+4是因为3种非目标告警类型涉及的源IP地址和目的IP地址有部分重复。
将上述特征量表示为特征量矩阵:
Figure BDA0003669551160000151
3、根据具有下限的指数加权移动平均控制图算法,计算各特征量的一步预测误差和对应的控制边界。
具体而言,
Figure BDA0003669551160000152
由从开始时刻到第i-1个采样周期的特征量矩阵通过公式Z(i)=(1-λ1)·Z(i-1)+λ1·X(i)迭代计算得到,进而可以计算第i个采样周期各特征量的一步预测误差值矩阵:
Figure BDA0003669551160000161
进而可以计算第i个采样周期内各特征量对应的控制边界,以numl(i)为例,计算过程如下所示:
Figure BDA0003669551160000162
UCL1(i)11=1·eg(i)=97.4 (9);
LCL1(i)11=-1·eg(i)=-97.4 (10);
UCL2(i)11=2·eg(i)=194.8 (11);
LCL2(i)11=-2·eg(i)=-194.8 (12);
UCL3(i)11=3·eg(i)=292.2 (13);
LCL3(i)11=-3·eg(i)=-292.2 (14);
其中,
Figure BDA0003669551160000163
和/>
Figure BDA0003669551160000164
由从开始时刻到第i-1个采样周期内特征量迭代计算得到。同理可以计算第i个采样周期内其他特征量对应的控制边界。
4、生成网络安全态势感知矩阵,并判断是否有异常发生;
以num1(i)为例,UCL2(i)11<E(i)11=260.4<UCL3(i)11,因此S(i)11=2。
同理可得:
Figure BDA0003669551160000165
网络安全态势感知矩阵S(i)中的元素取值不包含3或-3,说明第i个采样周期内不存在网络安全态势异常,应跳转至第3步进入第i+1个采样周期的网络安全态势感知流程。
5、如果存在网络安全态势异常,将当前的网络安全态势感知矩阵与历史数据库中的异常网络安全态势感知矩阵进行匹配,并将匹配结果作为辅助信息提交人工研判。
具体而言,假设第k个采样周期存在网络安全态势异常,对应网络安全态势感知矩阵为:
Figure BDA0003669551160000171
此时应将S(k)与历史数据库中的异常网络安全态势感知矩阵进行匹配,若历史数据库中存在异常网络安全态势感知矩阵与S(k)相同,则将该异常网络安全态势感知矩阵及历史研判结果提交工作人员辅助分析,否则直接将S(k)提交工作人员研判。
6、对无法与历史数据库中的异常网络安全态势感知矩阵匹配的网络安全态势感知矩阵,结合专家知识对其进行人工研判,并将研判结果更新至历史数据库。
假设上述网络安全态势感知矩阵S(k)未能成功匹配,则人工对其表征的网络安全态势进行研判,并将S(k)及研判结果更新至历史数据库。
应用网络安全态势感知方法,具有以下优点:
(1)基于改进的指数加权移动平均控制图算法,对工业互联网中由不同网络安全系统和设备产生的多源、异构网络安全告警数据进行统计及分析,从而对工业互联网的网络安全态势进行有效感知,避免了工业互联网安全告警中大量的误报和低风险告警的干扰,提高安全告警的处理能力,降低告警日志分析处理工作量。
(2)基于改进的指数加权移动平均控制图算法,避免了传统指数加权移动平均控制图算法在数据维持较长时间稳定时可能出现的过调整现象,从而提升了网络安全态势感知能力。
(3)通过在原有网络安全系统和设备的基础上进行改进与提升,在原有网络安全系统和设备检测结果的基础上进行分析,可以在原有系统上通过软件升级的方式进行部署,不需要额外的硬件开销。
(4)算法复杂度较低,在较大规模的工业互联网中也可做到实时的分析速度,通过较小的运算开销可以实现网络安全防护能力的显著提升。
基于与第一实施例相同的发明构思,第二实施例提供如图3所示的一种网络安全态势感知装置,包括:
告警事件特征量获取模块21,用于对获取的网络攻击告警日志进行解析,分别从网络攻击告警日志中提取目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量,得到所有特征量;
网络安全态势感知矩阵生成模块22,用于基于指数加权移动平均控制图算法,分别计算所有特征量的一步预测误差和控制边界,并根据所有特征量的一步预测误差和控制边界,生成网络安全态势感知矩阵;
网络安全态势感知模块23,用于根据网络安全态势感知矩阵,判断是否存在网络安全态势异常,并在判定存在网络安全态势异常时,将历史数据库中与网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵发送至用户终端。
在优选的实施例当中,告警事件特征量获取模块21,还用于在所述对获取的网络攻击告警日志进行解析,分别从网络攻击告警日志中提取目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量,得到所有特征量之前,获取用户终端发送的所有目标告警类型;或者,对获取的历史网络攻击告警日志进行解析,分别统计每一告警类型的告警事件的指标值,并在告警类型的告警事件的指标值大于预设阈值时,将告警类型作为目标告警类型,得到所有目标告警类型;其中,告警类型的告警事件的指标值包括告警类型的告警事件的发生总数、发生总数占比、发生频次中的至少一种。
在优选的实施例当中,网络安全态势感知模块23,还用于当无法从历史数据库中获取到与网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵时,将网络安全态势感知矩阵发送至用户终端,并接收用户终端针对网络安全态势感知矩阵反馈的研判结果,将研判结果存储于历史数据库。
在优选的实施例当中,告警事件特征量获取模块21,具体用于:对网络攻击告警日志进行解析,分别统计当前采样周期内每一目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数,将每一目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数对应作为每一目标告警类型的告警事件的特征量,得到所有目标告警类型的告警事件的特征量;统计当前采样周期内非目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数,将非目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数作为非目标告警类型的告警事件的特征量。
在优选的实施例当中,网络安全态势感知矩阵生成模块22,具体用于:根据当前采样周期内所有目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量,生成当前采样周期内所有特征量的特征量矩阵;根据特征量矩阵,生成当前采样周期内所有特征量的指数加权移动平均值矩阵;根据特征量矩阵和指数加权移动平均值矩阵,生成当前采样周期内所有特征量的一步预测误差值矩阵;根据一步预测误差值矩阵,确定当前采样周期内所有特征量的一步预测误差;分别根据每一特征量的一步预测误差,对应计算每一特征量的控制上界值和控制下界值,得到当前采样周期内所有特征量的控制边界。
在优选的实施例当中,特征量矩阵为:
Figure BDA0003669551160000191
其中,X(i)为在第i个采样周期内所有特征量的特征量矩阵,numj(i)为在第i个采样周期内第j种目标告警类型的告警事件的发生总数,srcj(i)为在第i个采样周期内第j种目标告警类型的告警事件涉及的源IP地址总数,desj(i)为在第i个采样周期内第j种目标告警类型的告警事件涉及的目的IP地址总数,j=1,2,...,n,n为所有目标告警类型的总数,numn+1(i)为在第i个采样周期内非目标告警类型的告警事件的发生总数,srcn+1(i)为在第i个采样周期内非目标告警类型的告警事件涉及的源IP地址总数,desn+1(i)为在第i个采样周期内非目标告警类型的告警事件涉及的目的IP地址总数;
指数加权移动平均值矩阵为:
Z(i)=(1-λ1)·Z(i-1)+λ1·X(i) (18);
其中,Z(i)为在第i个采样周期内所有特征量的指数加权移动平均值矩阵,Z(i-1)为在第i-1个采样周期内所有特征量的指数加权移动平均值矩阵,λ1为预设平滑系数;
一步预测误差值矩阵为:
E(i)=X(i)-Z(i-1) (19);
其中,E(i)为在第i个采样周期内所有特征量的一步预测误差值矩阵;
特征量的控制上界值为:
UCLα(i)pq=α·eg(i) (20);
特征量的控制下界值为:
LCLα(i)pq=-α·eg(i) (21);
其中,UCLα(i)pq为在第i个采样周期内特征量X(i)pq的控制上界值,LCLα(i)pq为在第i个采样周期内特征量X(i)pq的控制下界值,X(i)pq为特征量矩阵中第p行第q列元素,α为预设接受范围系数,
Figure BDA0003669551160000201
λ2为预设边界控制系数,/>
Figure BDA0003669551160000202
为从开始时刻到第i个采样周期内特征量X(i)pq的一步预测误差E(i)pq的方差。
在优选的实施例当中,网络安全态势感知矩阵生成模块22,具体用于:基于预先定义的网络安全态势感知矩阵元素取值表,分别根据每一特征量的一步预测误差和控制边界,确定网络安全态势感知矩阵中对应元素的取值,生成网络安全态势感知矩阵。
在优选的实施例当中,网络安全态势感知模块23,具体用于:遍历网络安全态势感知矩阵中的所有元素,若网络安全态势感知矩阵中有至少一个元素的取值为异常值,则判定存在网络安全态势异常,否则判定不存在网络安全态势异常。
基于与第一实施例相同的发明构思,第三实施例提供如图4所示的一种网络安全态势感知系统,包括服务器31;
服务器31,用于执行:
对获取的网络攻击告警日志进行解析,分别从网络攻击告警日志中提取目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量,得到所有特征量;
基于指数加权移动平均控制图算法,分别计算所有特征量的一步预测误差和控制边界,并根据所有特征量的一步预测误差和控制边界,生成网络安全态势感知矩阵;
根据网络安全态势感知矩阵,判断是否存在网络安全态势异常,并在判定存在网络安全态势异常时,将历史数据库中与网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵发送至用户终端。
在优选的实施例当中,在所述对获取的网络攻击告警日志进行解析,分别从网络攻击告警日志中提取目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量,得到所有特征量之前,还包括:获取用户终端发送的所有目标告警类型;或者,对获取的历史网络攻击告警日志进行解析,分别统计每一告警类型的告警事件的指标值,并在告警类型的告警事件的指标值大于预设阈值时,将告警类型作为目标告警类型,得到所有目标告警类型;其中,告警类型的告警事件的指标值包括告警类型的告警事件的发生总数、发生总数占比、发生频次中的至少一种。
在优选的实施例当中,所述在判定存在网络安全态势异常时,将历史数据库中与网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵发送至用户终端,还包括:当无法从历史数据库中获取到与网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵时,将网络安全态势感知矩阵发送至用户终端,并接收用户终端针对网络安全态势感知矩阵反馈的研判结果,将研判结果存储于历史数据库。
在优选的实施例当中,所述对获取的网络攻击告警日志进行解析,分别从网络攻击告警日志中提取目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量,得到所有特征量,具体为:对网络攻击告警日志进行解析,分别统计当前采样周期内每一目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数,将每一目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数对应作为每一目标告警类型的告警事件的特征量,得到所有目标告警类型的告警事件的特征量;统计当前采样周期内非目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数,将非目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数作为非目标告警类型的告警事件的特征量。
在优选的实施例当中,所述基于指数加权移动平均控制图算法,分别计算所有特征量的一步预测误差和控制边界,具体为:根据当前采样周期内所有目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量,生成当前采样周期内所有特征量的特征量矩阵;根据特征量矩阵,生成当前采样周期内所有特征量的指数加权移动平均值矩阵;根据特征量矩阵和指数加权移动平均值矩阵,生成当前采样周期内所有特征量的一步预测误差值矩阵;根据一步预测误差值矩阵,确定当前采样周期内所有特征量的一步预测误差;分别根据每一特征量的一步预测误差,对应计算每一特征量的控制上界值和控制下界值,得到当前采样周期内所有特征量的控制边界。
在优选的实施例当中,特征量矩阵为:
Figure BDA0003669551160000221
其中,X(i)为在第i个采样周期内所有特征量的特征量矩阵,numj(i)为在第i个采样周期内第j种目标告警类型的告警事件的发生总数,srcj(i)为在第i个采样周期内第j种目标告警类型的告警事件涉及的源IP地址总数,desj(i)为在第i个采样周期内第j种目标告警类型的告警事件涉及的目的IP地址总数,j=1,2,...,n,n为所有目标告警类型的总数,numn+1(i)为在第i个采样周期内非目标告警类型的告警事件的发生总数,srcn+1(i)为在第i个采样周期内非目标告警类型的告警事件涉及的源IP地址总数,desn+1(i)为在第i个采样周期内非目标告警类型的告警事件涉及的目的IP地址总数;
指数加权移动平均值矩阵为:
Z(i)=(1-λ1)·Z(i-1)+λ1·X(i) (23);
其中,Z(i)为在第i个采样周期内所有特征量的指数加权移动平均值矩阵,Z(i-1)为在第i-1个采样周期内所有特征量的指数加权移动平均值矩阵,λ1为预设平滑系数;
一步预测误差值矩阵为:
E(i)=X(i)-Z(i-1) (24);
其中,E(i)为在第i个采样周期内所有特征量的一步预测误差值矩阵;
特征量的控制上界值为:
UCLα(i)pq=α·eg(i) (25);
特征量的控制下界值为:
LCLα(i)pq=-α·eg(i) (26);
其中,UCLα(i)pq为在第i个采样周期内特征量X(i)pq的控制上界值,LCLα(i)pq为在第i个采样周期内特征量X(i)pq的控制下界值,X(i)pq为特征量矩阵中第p行第q列元素,α为预设接受范围系数,
Figure BDA0003669551160000231
λ2为预设边界控制系数,/>
Figure BDA0003669551160000232
为从开始时刻到第i个采样周期内特征量X(i)pq的一步预测误差E(i)pq的方差。
在优选的实施例当中,所述根据所有特征量的一步预测误差和控制边界,生成网络安全态势感知矩阵,具体为:基于预先定义的网络安全态势感知矩阵元素取值表,分别根据每一特征量的一步预测误差和控制边界,确定网络安全态势感知矩阵中对应元素的取值,生成网络安全态势感知矩阵。
在优选的实施例当中,所述根据网络安全态势感知矩阵,判断是否存在网络安全态势异常,具体为:遍历网络安全态势感知矩阵中的所有元素,若网络安全态势感知矩阵中有至少一个元素的取值为异常值,则判定存在网络安全态势异常,否则判定不存在网络安全态势异常。
综上所述,实施本发明的实施例,具有如下有益效果:
通过解析网络攻击告警日志,分别从网络攻击告警日志中提取目标告警类型和非目标告警类型的告警事件的特征量,采用指数加权移动平均控制图算法,分别计算所有特征量的一步预测误差和控制边界,基于根据所有特征量的一步预测误差和控制边界所生成的网络安全态势感知矩阵,判断是否存在网络安全态势异常,以在判定存在网络安全态势异常时,将历史数据库中与网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵发送至用户终端,能够排除海量低风险告警和误报的干扰,有效感知网络安全态势并及时发现网络安全态势异常,进一步保证网络安全。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
本领域普通技术人员可以理解实现上述实施例中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。

Claims (9)

1.一种网络安全态势感知方法,其特征在于,包括:
对获取的网络攻击告警日志进行解析,分别从所述网络攻击告警日志中提取目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量,得到所有特征量,包括:对所述网络攻击告警日志进行解析,分别统计当前采样周期内每一所述目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数,将每一所述目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数对应作为每一所述目标告警类型的告警事件的特征量,得到所有所述目标告警类型的告警事件的特征量;统计当前采样周期内所述非目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数,将所述非目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数作为所述非目标告警类型的告警事件的特征量;
基于指数加权移动平均控制图算法,分别计算所有所述特征量的一步预测误差和控制边界,并根据所有所述特征量的一步预测误差和控制边界,生成网络安全态势感知矩阵;
根据所述网络安全态势感知矩阵,判断是否存在网络安全态势异常,并在判定存在网络安全态势异常时,将历史数据库中与所述网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵发送至用户终端。
2.如权利要求1所述的网络安全态势感知方法,其特征在于,在所述对获取的网络攻击告警日志进行解析,分别从所述网络攻击告警日志中提取目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量,得到所有特征量之前,还包括:
获取所述用户终端发送的所有所述目标告警类型;或者,
对获取的历史网络攻击告警日志进行解析,分别统计每一告警类型的告警事件的指标值,并在所述告警类型的告警事件的指标值大于预设阈值时,将所述告警类型作为所述目标告警类型,得到所有所述目标告警类型;其中,所述告警类型的告警事件的指标值包括所述告警类型的告警事件的发生总数、发生总数占比、发生频次中的至少一种。
3.如权利要求1所述的网络安全态势感知方法,其特征在于,所述在判定存在网络安全态势异常时,将历史数据库中与所述网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵发送至用户终端,还包括:
当无法从所述历史数据库中获取到与所述网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵时,将所述网络安全态势感知矩阵发送至所述用户终端,并接收所述用户终端针对所述网络安全态势感知矩阵反馈的研判结果,将所述研判结果存储于所述历史数据库。
4.如权利要求1所述的网络安全态势感知方法,其特征在于,所述基于指数加权移动平均控制图算法,分别计算所有所述特征量的一步预测误差和控制边界,具体为:
根据当前采样周期内所有所述目标告警类型的告警事件的特征量和所述非目标告警类型的告警事件的特征量,生成当前采样周期内所有所述特征量的特征量矩阵;
根据所述特征量矩阵,生成当前采样周期内所有所述特征量的指数加权移动平均值矩阵;
根据所述特征量矩阵和所述指数加权移动平均值矩阵,生成当前采样周期内所有所述特征量的一步预测误差值矩阵;
根据所述一步预测误差值矩阵,确定当前采样周期内所有所述特征量的一步预测误差;
分别根据每一所述特征量的一步预测误差,对应计算每一所述特征量的控制上界值和控制下界值,得到当前采样周期内所有所述特征量的控制边界。
5.如权利要求4所述的网络安全态势感知方法,其特征在于,所述特征量矩阵为:
Figure FDA0004198048580000031
其中,X(i)为在第i个采样周期内所有所述特征量的特征量矩阵,numj(i)为在第i个采样周期内第j种目标告警类型的告警事件的发生总数,srcj(i)为在第i个采样周期内第j种目标告警类型的告警事件涉及的源IP地址总数,desj(i)为在第i个采样周期内第j种目标告警类型的告警事件涉及的目的IP地址总数,j=1,2,...,n,n为所有所述目标告警类型的总数,numn+1(i)为在第i个采样周期内所述非目标告警类型的告警事件的发生总数,srcn+1(i)为在第i个采样周期内所述非目标告警类型的告警事件涉及的源IP地址总数,desn+1(i)为在第i个采样周期内所述非目标告警类型的告警事件涉及的目的IP地址总数;
所述指数加权移动平均值矩阵为:
Z(i)=(1-λ1)·Z(i-1)+λ1·X(i);
其中,Z(i)为在第i个采样周期内所有所述特征量的指数加权移动平均值矩阵,Z(i-1)为在第i-1个采样周期内所有所述特征量的指数加权移动平均值矩阵,λ1为预设平滑系数;
所述一步预测误差值矩阵为:
E(i)=X(i)-Z(i-1);
其中,E(i)为在第i个采样周期内所有所述特征量的一步预测误差值矩阵;
所述特征量的控制上界值为:
UCLα(i)pq=α·eg(i);
所述特征量的控制下界值为:
LCLα(i)pq=-α·eg(i);
其中,UCLα(i)pq为在第i个采样周期内特征量X(i)pq的控制上界值,LCLα(i)pq为在第i个采样周期内特征量X(i)pq的控制下界值,X(i)pq为所述特征量矩阵中第p行第q列元素,α为预设接受范围系数,
Figure FDA0004198048580000041
λ2为预设边界控制系数,/>
Figure FDA0004198048580000042
为从开始时刻到第i个采样周期内特征量X(i)pq的一步预测误差E(i)pq的方差。
6.如权利要求1所述的网络安全态势感知方法,其特征在于,所述根据所有所述特征量的一步预测误差和控制边界,生成网络安全态势感知矩阵,具体为:
基于预先定义的网络安全态势感知矩阵元素取值表,分别根据每一所述特征量的一步预测误差和控制边界,确定所述网络安全态势感知矩阵中对应元素的取值,生成所述网络安全态势感知矩阵。
7.如权利要求1所述的网络安全态势感知方法,其特征在于,所述根据所述网络安全态势感知矩阵,判断是否存在网络安全态势异常,具体为:
遍历所述网络安全态势感知矩阵中的所有元素,若所述网络安全态势感知矩阵中有至少一个元素的取值为异常值,则判定存在网络安全态势异常,否则判定不存在网络安全态势异常。
8.一种网络安全态势感知装置,其特征在于,包括:
告警事件特征量获取模块,用于对获取的网络攻击告警日志进行解析,分别从所述网络攻击告警日志中提取目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量,得到所有特征量,具体用于:对所述网络攻击告警日志进行解析,分别统计当前采样周期内每一所述目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数,将每一所述目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数对应作为每一所述目标告警类型的告警事件的特征量,得到所有所述目标告警类型的告警事件的特征量;统计当前采样周期内所述非目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数,将所述非目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数作为所述非目标告警类型的告警事件的特征量;
网络安全态势感知矩阵生成模块,用于基于指数加权移动平均控制图算法,分别计算所有所述特征量的一步预测误差和控制边界,并根据所有所述特征量的一步预测误差和控制边界,生成网络安全态势感知矩阵;
网络安全态势感知模块,用于根据所述网络安全态势感知矩阵,判断是否存在网络安全态势异常,并在判定存在网络安全态势异常时,将历史数据库中与所述网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵发送至用户终端。
9.一种网络安全态势感知系统,其特征在于,包括服务器;
所述服务器,用于执行:
对获取的网络攻击告警日志进行解析,分别从所述网络攻击告警日志中提取目标告警类型的告警事件的特征量和非目标告警类型的告警事件的特征量,得到所有特征量,包括:对所述网络攻击告警日志进行解析,分别统计当前采样周期内每一所述目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数,将每一所述目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数对应作为每一所述目标告警类型的告警事件的特征量,得到所有所述目标告警类型的告警事件的特征量;统计当前采样周期内所述非目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数,将所述非目标告警类型的告警事件的发生总数、涉及的源IP地址总数、涉及的目的IP地址总数作为所述非目标告警类型的告警事件的特征量;
基于指数加权移动平均控制图算法,分别计算所有所述特征量的一步预测误差和控制边界,并根据所有所述特征量的一步预测误差和控制边界,生成网络安全态势感知矩阵;
根据所述网络安全态势感知矩阵,判断是否存在网络安全态势异常,并在判定存在网络安全态势异常时,将历史数据库中与所述网络安全态势感知矩阵匹配的异常网络安全态势感知矩阵发送至用户终端。
CN202210605004.7A 2022-05-30 2022-05-30 一种网络安全态势感知方法、装置及系统 Active CN115001954B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210605004.7A CN115001954B (zh) 2022-05-30 2022-05-30 一种网络安全态势感知方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210605004.7A CN115001954B (zh) 2022-05-30 2022-05-30 一种网络安全态势感知方法、装置及系统

Publications (2)

Publication Number Publication Date
CN115001954A CN115001954A (zh) 2022-09-02
CN115001954B true CN115001954B (zh) 2023-06-09

Family

ID=83030990

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210605004.7A Active CN115001954B (zh) 2022-05-30 2022-05-30 一种网络安全态势感知方法、装置及系统

Country Status (1)

Country Link
CN (1) CN115001954B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116015979B (zh) * 2023-02-23 2023-06-16 网思科技股份有限公司 一种智能安全态势感知方法、系统和存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106453392A (zh) * 2016-11-14 2017-02-22 中国人民解放军防空兵学院 基于流量特征分布的全网络异常流识别方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8028061B2 (en) * 2007-10-18 2011-09-27 Trendium, Inc. Methods, systems, and computer program products extracting network behavioral metrics and tracking network behavioral changes
CN101741633B (zh) * 2008-11-06 2011-12-28 北京启明星辰信息技术股份有限公司 一种海量日志关联分析方法及系统
US8862119B2 (en) * 2009-07-15 2014-10-14 Rockstar Consortium Us Lp Method and apparatus for telecommunications network performance anomaly events detection and notification
US10476896B2 (en) * 2016-09-13 2019-11-12 Accenture Global Solutions Limited Malicious threat detection through time series graph analysis
CN112261009B (zh) * 2020-09-29 2022-07-08 中国铁道科学研究院集团有限公司通信信号研究所 一种针对铁路调度集中系统的网络入侵检测方法
CN113259379A (zh) * 2021-06-15 2021-08-13 中国航空油料集团有限公司 基于增量学习的异常告警识别方法、装置、服务器和存储介质
CN114301712B (zh) * 2021-12-31 2023-04-07 西安交通大学 一种基于图方法的工业互联网告警日志关联分析方法及系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106453392A (zh) * 2016-11-14 2017-02-22 中国人民解放军防空兵学院 基于流量特征分布的全网络异常流识别方法

Also Published As

Publication number Publication date
CN115001954A (zh) 2022-09-02

Similar Documents

Publication Publication Date Title
CN108667856B (zh) 一种网络异常检测方法、装置、设备及存储介质
CN114584405B (zh) 一种电力终端安全防护方法及系统
US20040250169A1 (en) IDS log analysis support apparatus, IDS log analysis support method and IDS log analysis support program
CN109361673B (zh) 基于流量数据样本统计和平衡信息熵估计的网络异常检测方法
EP2936772B1 (en) Network security management
WO2010114363A1 (en) Method and system for alert classification in a computer network
CN111400357A (zh) 一种识别异常登录的方法和装置
CN112416872A (zh) 一种基于大数据的云平台日志管理系统
CN110830467A (zh) 基于模糊预测的网络可疑资产识别方法
CN111708687B (zh) 一种设备异常指标确定方法、装置、设备和存储介质
CN115001954B (zh) 一种网络安全态势感知方法、装置及系统
CN115225384B (zh) 一种网络威胁度评估方法、装置、电子设备及存储介质
CN111274218A (zh) 一种电力信息系统多源日志数据处理方法
CN115935415A (zh) 基于工业互联网多要素感知的数据安全预警系统
CN110598959A (zh) 一种资产风险评估方法、装置、电子设备及存储介质
CN111526109B (zh) 自动检测web威胁识别防御系统的运行状态的方法及装置
CN114172699A (zh) 一种工业控制网络安全事件关联分析方法
CN113901441A (zh) 一种用户异常请求检测方法、装置、设备及存储介质
CN113778806A (zh) 一种安全告警事件的处理方法、装置、设备和存储介质
CN112861142A (zh) 数据库的风险等级确定方法和装置、存储介质及电子装置
CN116319014A (zh) 基于云端的多业务异常行为检测方法及装置
CN115801307A (zh) 一种利用服务器日志进行端口扫描检测的方法和系统
CN115766051A (zh) 一种主机安全应急处置方法、系统、存储介质及电子设备
CN114584391A (zh) 异常流量处理策略的生成方法、装置、设备及存储介质
CN115706669A (zh) 网络安全态势预测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant